下载后可任意编辑2024 年安全分析与安全智能调研报告 XX 年 10 月 份 , 紧 接 着 XX 年 度 日 志 管 理 调 研 报 告(logmanagementsurvey),sans 又发布了 XX 年度的安全分析与智能调研报告(analyticsandintelligencesurveyXX)。 sans 认为,安全分析与日志管理逐渐分开了,当下主流的 siem/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上,以实现所谓的下一代siem/安管平台。而安全分析和安全智能则跟 bda(大数据分析)更加密切相关。 sans 对 安 全 智 能 的 定 义 采 纳 了 gartner 的 定 义 。 而 安 全 智 能(securityintelligence)这个词的最早定义就来自于 gartner 的 fellow——约瑟夫.费曼(XX 年的报告——《准备企业安全智能的兴起》)。这,在 XX 年的日志分析调查报告中明确指出来了:企业安全智能包括对企业的 it 系统中所有跟安全相关的数据的收集,以及安全团队的知识和技能的运用,从而达成风险消减的目的。 今年,sans 对安全分析(securityanalytics,或者叫安全数据分析,数据分析)给出了一个自己的定义: thediscovery(throughvariousanalysistechniques)andcommunication(suchasthroughvisualization)ofmeaningfulpatternsorintelligenceindata.【对数据中有意义的模式或者情报(通过多种分析技术)进行发现和沟通(例如通过可视化方式)】 sans 还追溯了一下安全分析的起源,其实早在 1986 年就正式出现了。从最早的 ids,到后来的 siem,再到现在的安全智能,形成了一条安全分析的进展时间线。 关于安全智能,sans 做了一个脚注,就是安全智能不是自动化的机器智能,还需要训练有素安全分析师的参加。 报 告 中 , sans还 给 威 胁 情 报 下 了 一 个 定 义 :threatintelligenceisthesetofdatacollected,assessedandappliedregardingsecuritythreats,maliciousactors,exploits,malware,vulnerabilitiesandco1下载后可任意编辑mpromiseindicators. 【注:安全智能跟安全/威胁情报中都有一个相同的英文 intelligence,但是含义还是有所区别的】 sans 对 350 位 it 专业人士进行了调查问卷。报告显示: 1)有 47%的用户依旧投资在 siem 上,通过增强的 siem 获得安全分析的能力; 2)27%的用户将内部威胁情报关联应用于 siem; 3)61%的用户认为大数据将在安全分析中扮演必不可少角色(36%认为大数据扮演关键角色,25%...
